Gepubliceerd: Vrijdag 6 februari 2009
Komende dinsdag heeft Microsoft vier updates voor Patch Tuesday op de plank staan, voor IE, Exchange, SQL Server en Office Visio.
Toon volledig artikel
Patches die kritiek zijn voer je meteen uit dus dit zijn geen kritieke patches :-) Tenminste als je een beetje klantgericht bezig bent en een OS hebt dat aan alle kanten gaten heeft dan patch je meteen als iets is opgelost. Dan wacht je niet 4 of 5 dagen.
Je bedoelt zoals Firefox (en dus indirect ook alle linux distro's) die deze week nog een kritisch bug uit 2006 patchte ?
Ik snap niet waarom Blingux gemind wordt want hij heeft gewoon gelijk. Lees anders "Zesde update Firefox 3 dicht kritieke lekken" nog even.
Nee, ik bedoel letterlijk wat daar staat. Een klantgericht bedrijf patcht meteen en niet een week later. Dan kan je me wil minnen maar ik noem nergens Linux of Firefox. Dat is een aanname die jij maakt.
In elke software zit fouten. Het gaat erom hoe snel je iets oplost vanaf het moment dat het als een fout is beoordeeld. Als een probleem 6 maanden nodig heeft om te worden opgelost dan kan dat maar dan moeten er niet 5 maanden en 29 dagen te worden duimen gedraaid (of zoals hier minimaal 5 dagen; het zal een stuk langer zijn verwacht ik).
Je lijkt te vergeten dat Windows (en dus ook IE) nogal veel zakelijk worden gebruikt. Patch Tuesday is ingesteld om updates met een zekere regelmaat te kunnen verwerken. Af en toe wordt een update buiten Patch Tuesday beschikbaar gesteld vanwege direct gevaar, maar dit komt (gelukkig) zelden voor.
De meeste veiligheidslekken worden, zoals het hoort, vertrouwelijk aan Microsoft doorgegeven (responsible disclosure) of intern ontdekt. Hierdoor heeft men de tijd om deze op te lossen zonder veel gevaar voor de gebruiker.
Dat is weer een aanname die daar je maakt.
Als je systeem op een OS draait dat een aantoonbaar kritiek lek bevat dan hoor je niet updates uit te stellen. Dan hoor je een plan te hebben waarmee je die update wel per direct (na een analyse natuurlijk) kunt uitvoeren. Ons lukt het met een 900 systemen (een mix van Windows, Linux en een verdwaalde MAC) met daarop bedrijfskritische applicaties. Doe je dat niet dat loop je een risico. En een goede bedrijfsuitvoering hoort risico's uit te sluiten (wat dit er 1 is waarbij dat -zeker- kan en hoort te gebeuren). (zijdelings opmerking: op basis van de source kun je bij Linux zien of er iets is gewijzigd dat jouw applicatie betreft. Onze Linux systemen zijn dan ook vele malen sneller bij dan onze Windows systemen aangezien die laatste iedere keer een testtraject ingaan.
Voor Linux draaien we een diff tussen de files en kunnen die gebruiken om te achterhalen of er ergens een probleem zit voor ons.
Betreffende je laatste zin: het is juist in het belang van een hacker dat zo'n lek zo lang mogelijk onbekend blijft. Want des te langer kan hij er zijn voordeel mee proberen te halen. Lekken horen per direct te worden opgelost.
Overigens: betalingsverkeer is de branch waar ik in zit ;)
Jij gaat er blind vanuit dat als MS iets bestempeld als kritiek, dit ook zo is.
Ik heb zo mijn twijfels bij de meeste kwalifikaties die MS aan zijn patches hangt.
Ik ook. In het verleden genoeg van zulke berichten gezien waarbij veel 'experts' aangaven dat de normering van MS ten faveure van MS wordt gebruikt (Mozilla heeft daar een mooi overzicht voor :) ). Maar dat is ook onder een Ubuntu, Centos en Suse een aantal keren gebeurd.
Deze al eens gezien?
http://blog.washingtonpost.com/securityfix/2007/01/internet_explorer_unsafe_for_2.html
Dat artikel uit de Washington post is ook al weer debunked
blogs.technet.c...ethodology.aspx
Nu wel met high en critical vunerabilities zoals Brian Krebs beweerde te hebben geteld
Jones blijft echter voorbij gaan aan één belangrijk punt. Hij probeert een open organisatie te vergelijken met een gesloten organisatie. Het blijven appels en peren. Ik vind Jones een mooie Microsoft clown, grappig maar niet serieus te nemen.
dus je bedoelde eigenlijk te zeggen dat een vergelijking tussen IE en Firefox gewoon nooit kan en dus dat het verhaal van Brian krebs ook onzin was?
Oke, dat is dan duidelijk. maar ik heb zo het idee dat je de valkuil weer niet ziet in je eigen argumentatie ;)
Grappig, maar niet serieus te nemen inderdaad!
(zijdelings opmerking: op basis van de source kun je bij Linux zien of er iets is gewijzigd dat jouw applicatie betreft.
Maar bij elke applicatie waarbij files geopend kunnen worden die een externe oorsprong hebben geldt dat updates altijd getest moeten worden. Browsers of viewer of office software bijvoorbeeld.
Er worden voor de totale set aan prodcuten in linux distro's vrijwel dagelijks diverse updates opgeleverd. De distro's releases deze echter lang niet altijd met dezelfde dag maar meestal een paar dagen later.
Daardoor ontstaan zeer gevaarlijke risicodagen waarbij kwetsbaarheid ontstaat voor bugs waarvan heel makkelijk te achterhalen is hoe deze geexploiteerd kunnen worden.
Deze periodes met kwetsbaarheden duren weliswaar maar kort maar zijn voor high security omgevingen toch erg riskant.
Daar hebben we bij ons bedrijf het weekend voor uitgevonden ;-)
Eens per 10 weken ben ik aan de beurt voor zo'n weekend (mocht het nodig zijn want updates van Ubuntu en Suse zijn eigenlijk alleen van belang als er een kernel update bij zit (wij hebben 2 programma's die nogal op de kernel versie hikken maar die plekken kan ik dromen ondertussen :) )
Waarom "indirect ook alle linux distro's"? Indirect ook alle Windows en Mac distro's, want daar kan Firefox toch ook op draaien?
Omdat de linux distro's FF als default browser meeleveren en er ook patches voor zullen leveren aan de gebruikers. Apple en Microsoft leveren default geen FF en leveren er ook geen patches voor
Onder Linux moet je moeite doen om met admin rechten iets uit te voeren. Problemen met een browser als FF zullen in bijna alle gevallen allen een probleem kunnen worden voor een locale gebruiker (Linux gebruikers zijn in dat opzicht beter opgevoed en zijn een stuk kritischer als het om admin rechten gaat).
Onder Windows moet je moeite doen om software als niet-admin te kunnen uitvoeren. En daarom werkt iedereen onder admin (zie het andere bericht op WW).
die deze week nog een kritisch bug uit 2006 patchte ?
Dat heb je van Jones geleerd. Heel creatief. ;)
Hoelang hebben de lekken bij Microsoft open gestaan? En kom niet met datums uit de CVE database. Ik wil een datum uit de bugtracker van Microsoft, net als de datum die jij uit de database van Mozilla hebt gevist.
Als je niet wilt waachten op de webwereldvertaling dan staat deel 3 van Jeff al voor je klaar hier:
www.cio.com/art...er_Part_?page=1
ik klik op de link en als die niet werkt sloop ik daar wat vanaf of zoek op de betreffend esite.
dan krijg je dit:
http://www.cio.com/article/479121/Is_Firefox_the_Most_Secure_Web_
wat kan de computer toch moeilijk zijn soms ;)
Dat heb je van Jones geleerd. Heel creatief. ;)
Jones haalt juist data altijd uit de NIST CVE database dus ik begrijp niet waarom je die parallel trekt
abuse of GF laptop
Ah. Blingux, modje01, modje04, modje12, modje14, modje15, modje18, modje20, albert, hal, baseline, regis en chrissie zijn allemaal 'vriendinnen' waarvan je soms 'per ongeluk' de laptop misbruikt?
Wel apart hoor, dat je met zoveel vriendinnen nog de tijd kunt vinden om 24/7 voor Microsoft te astroturfen.
Dat is bijna een derde van jouw ""vriendje"" Theodoor. Daar heb ik je nog nooit eerder over gehoord. Selectief ;)
Dus Alon = peter Koopman??
Ook twee accounts of beantwoord jij altijd de vragen voor iemand anders?
Die balk en splinter lijkt maar niet door te dringen hier ;)
ps, jij bent toch niet zo naief dat je werkelijk denkt dat Theodoor hier al weer niet rondsppookt? Die kan niet zonder Webwereld dus vrees niet, hij is vast aan zijn 50 account hier bezig.
Dat is bijna een derde van jouw ""vriendje"" Theodoor. Daar heb ik je nog nooit eerder over gehoord. Selectief ;)
Ten eerste ben jij niet in een positie om te beoordelen wie mijn 'vriendjes' zijn. Ten tweede is dit waarschijnlijk maar het topje van de ijsberg van MS-hAL accounts, wat dat 'een derde' wel erg arbitrair maakt.
Je/jullie/hij is/zijn Blingux/Chrissienet/albert/hAl/enz. als Jones zelf, heel graag appels tegen peren aan het verdedigen omdat je het verschil alleen kunt zien, het verschil willen begrijpen en accepteren is wat anders.
Je hoeft het niet te gebruiken, je moet accepteren dat het er is, hoe klein of groot maakt niet uit.
Zoals ik al eerder meldde, het is er, het blijft er en het doet serieus mee.
Precies zoals MS en de anderen.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
